我希望我的网站允许用户使用下拉菜单来筛选MySQL提供的数据列表。从下拉菜单中的选项以下列方式使用:下拉菜单是否存在MySQL注入风险
$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';
我的问题是:我需要从预先定义的,下拉列表框中选择担心数据库注入?谢谢!
我希望我的网站允许用户使用下拉菜单来筛选MySQL提供的数据列表。从下拉菜单中的选项以下列方式使用:下拉菜单是否存在MySQL注入风险
$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';
我的问题是:我需要从预先定义的,下拉列表框中选择担心数据库注入?谢谢!
您最好使用任何可能想要连接到SQL的参数。所以,基本上,总是安全并使用参数化查询。 –
好点!做正确的方式,并有一个和平的头脑。 – LearnAWK
显然有人可以传入'*'并欺骗你的查询。所以是的,你需要担心注射在这里。 –